> Das ist ja kein Problem der iptables! > Auch ohne iptables Regeln kann ich die Seite nicht > aufrufen (mit INPUT, FORWARD und OUTPUT auf ACCEPT und > ansonsten nur $IPTABLES -A POSTROUTING -t nat -s $localnet -d '!' $localnet > -j MASQUERADE)! hier wuerde ich das MASQUERADE am Interface fest machen ..
## ------- keine Firewall -- INET_IFACE="eth1" ILAN_IFACE="eth0" INETIF="217.89.116.232/32" # [*] IP: advanced router <<--- kernel config # Turn on IP forwarding / syncookies / drop IP spoofing echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter # von aussen nach innen -- z.b. # TCP(FTP, SSH, SMTP, WWW, POP3, AUTH) # UDP( DNS ) WELLTCP="21,22,25,80,110,113" WELLUDP="53" # --- neue chains -- iptables -N LOCALIN > /dev/null > 2>&1 iptables -N INETIN > /dev/null > 2>&1 iptables -F LOCALIN > /dev/null > 2>&1 iptables -F INETIN > /dev/null > 2>&1 # -- default Policies iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # -- neue chains anspringen iptables -A INPUT -i eth1 -j INETIN iptables -A INPUT -i eth0 -j LOCALIN # --- local darf alles iptables -A LOCALIN -j ACCEPT # -- local loopback device iptables -t filter -I INPUT -i lo -j ACCEPT # -- Active wired connections iptables -t filter -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -I INETIN -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -I LOCALIN -m state --state ESTABLISHED,RELATED -j ACCEPT # -- MASQ alles was raus geht iptables -t nat -A POSTROUTING -o ${INET_IFACE} -j MASQUERADE # -- Neue TCP aber nicht mit Syn Flag iptables -t filter -A INETIN -p tcp ! --sync -m state --state NEW -j DROP # -- anti SPOOF -- iptables -t filter -A INETIN -s 0/0 -d ! $INETIF -j DROP # -- offene ports TCP/UDP iptables -t filter -A INETIN -p tcp --sync -m multiport --destination-port $WELLTCP -j ACCEPT iptables -t filter -A INETIN -p udp -m multiport --destination-port $WELLUDP -JACCEPT versuchs erstmal so. > Ich denke inzwischen, dass das ein Routing-Problem ist. > > route auf dem Rechner: > Kernel IP routing table > Destination Gateway Genmask > Flags Metric Ref Use Iface > 217.89.116.232 217.89.116.234 255.255.255.248 > UG 0 0 0 eth1# > 217.89.116.232 * 255.255.255.248 > U 0 0 0 eth1 > localnet 192.168.0.1 255.255.255.0 UG 0 > 0 0 eth0# > localnet * 255.255.255.0 U > 0 0 0 eth0 > default 217.89.116.233 0.0.0.0 UG > 0 0 0 eth1 > > Wobei mich die jeweils mit # gekennzeichneten Zeilen Stören! > Ich hätte es lieber wie folgt: > Kernel IP routing table eben es sind eben die KERNEL IP ROUTINGS die kannste nicht loeschen deselgen habne die auch ein <device># stehen -cr -- """" Linux, O O we work on it! ( help the community and find the BUGS. +__/ ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org